Globalne wdrażanie sztucznej inteligencji w zarządzaniu ryzykiem
Sztuczna inteligencja potrafi wykrywać nietypowe płatności, analizować pogarszające się sygnały kredytowe oraz przeglądać tysiące alertów dotyczących zgodności z przepisami szybciej niż zespół ludzi. To sprawia, że jest ona potencjalnie cennym narzędziem zarządzania ryzykiem, ale nie może pełnić roli autonomicznego strażnika instytucji finansowej. Modele mogą przeoczyć nieznane zagrożenia, powielać uprzedzenia oraz tworzyć nowe zależności od dostawców danych i technologii. W praktyce nie chodzi zatem o to, czy bank powinien korzystać ze sztucznej inteligencji, ale o to, w zarządzaniu jakimi rodzajami ryzyka może ona pomóc oraz jakie mechanizmy kontrolne są potrzebne, aby technologia ta nie stała się kolejnym źródłem narażenia.
Proces adopcji przebiega szybciej niż proces zarządzania
Sztuczna inteligencja jest już szeroko stosowana w sektorze bankowym. Europejski Urząd Nadzoru Bankowego podał w 2025 roku, że 92 procent banków w UE wdrażało tę technologię, podczas gdy pozostałe instytucje prowadziły projekty pilotażowe lub rozważały możliwe zastosowania. Bank Anglii i Urząd Nadzoru Finansowego (FCA) również odnotowały jej powszechne wykorzystanie w brytyjskim sektorze usług finansowych.
Statystyki dotyczące wdrażania mogą jednak zawyżać stopień zaawansowania tego procesu. Bank może zostać uznany za użytkownika sztucznej inteligencji, ponieważ wykorzystuje uczenie maszynowe do wykrywania oszustw lub umożliwia pracownikom korzystanie z wewnętrznego asystenta generatywnego. Nie oznacza to jednak, że sztuczna inteligencja podejmuje kluczowe decyzje dotyczące ryzyka kredytowego, płynnościowego czy rynkowego.
Wiele instytucji nadal podchodzi ostrożnie do wdrażania sztucznej inteligencji bezpośrednio w procesach o dużym znaczeniu. Mogą one wykorzystywać ją do identyfikowania spraw wymagających zbadania, zachowując jednocześnie sprawdzone modele i pozostawiając ostateczną decyzję do zatwierdzenia przez człowieka.
To rozróżnienie ma znaczenie. Sztuczna inteligencja może wspierać funkcję kontrolną, nie biorąc jednak odpowiedzialności za wynik. Instytucja finansowa pozostaje odpowiedzialna niezależnie od tego, czy błąd wynikał z działania pracownika, modelu opracowanego wewnętrznie, czy też z działania zewnętrznego dostawcy technologii.
Wykrywanie oszustw to jeden z najsilniejszych przykładów zastosowań
Systemy wykrywające oszustwa muszą analizować bardzo duże ilości transakcji, decydując jednocześnie, które z nich wymagają interwencji. Tradycyjne reguły mogą sygnalizować każdą płatność powyżej określonej kwoty lub każdą nietypową lokalizację. Systemy oparte na uczeniu maszynowym mogą analizować szerszy zestaw czynników, w tym historię transakcji, informacje o urządzeniu, czas realizacji oraz powiązania między kontami.
Może to pomóc w rozpoznaniu wzorców, które umknęłyby stałej regule. Pozwala to również ograniczyć liczbę niepotrzebnych alertów poprzez odróżnienie rzeczywiście nietypowych zachowań od uzasadnionych zmian w sposobie korzystania z konta przez klienta.
Zaletą nie jest jedynie wyższa skuteczność wykrywania. Nadmierna liczba fałszywych alarmów może spowodować zablokowanie prawdziwych płatności, uniemożliwiając klientom dostęp do swoich środków, podczas gdy śledczy tracą czas na analizowanie nieszkodliwych transakcji.
Sztuczna inteligencja może pomóc w ustalaniu priorytetów alertów, ale oszustwa ewoluują w odpowiedzi na środki kontroli mające na celu ich powstrzymanie. Przestępcy testują systemy, manipulują tożsamościami i dostosowują schematy transakcji. Model wyszkolony na podstawie wczorajszych oszustw może nie sprawdzić się w obliczu nowej metody.
Instytucje potrzebują zatem ciągłego monitorowania, szybkiej informacji zwrotnej od badaczy oraz możliwości aktualizowania środków kontroli, nie zakładając, że model, który wcześniej okazał się skuteczny, pozostanie skuteczny w nieskończoność.
Kontrole w zakresie przeciwdziałania praniu pieniędzy mogą stać się bardziej ukierunkowane
Banki przeznaczają znaczne środki na monitorowanie transakcji i badanie potencjalnych przypadków prania brudnych pieniędzy. Istniejące systemy często generują ogromną liczbę alertów, z których wiele nie prowadzi do sporządzenia zgłoszenia o podejrzanej działalności.
Sztuczna inteligencja może usprawnić ten proces poprzez powiązanie klientów, firm, rachunków i transakcji, które – rozpatrywane osobno – wydają się nie mieć ze sobą związku. Analiza sieciowa może ujawnić wspólne adresy, powiązania własnościowe lub ścieżki płatności między kilkoma podmiotami.
Narzędzia oparte na języku naturalnym mogą również pomagać śledczym w porządkowaniu akt spraw, podsumowywaniu dotychczasowych działań oraz wyszukiwaniu odpowiednich wytycznych. Pozwala to ograniczyć nakład pracy administracyjnej i umożliwia specjalistom skupienie się na istocie sprawy.
Technologia nie powinna samodzielnie stwierdzać, że klient dopuszcza się czynów przestępczych. Pewne wzorce zachowań mogą mieć uzasadnione przyczyny, a automatyczne wnioski mogą pociągać za sobą poważne konsekwencje dla dostępu do konta i reputacji.
Banki muszą również unikać wykorzystywania sztucznej inteligencji wyłącznie w celu szybszego rozpatrywania zgłoszeń. Efektywność ma wartość tylko wtedy, gdy poprawia identyfikację i badanie rzeczywistych zagrożeń, a nie stanowi jedynie szybszego sposobu na zamknięcie spraw.
Ocena zdolności kredytowej wymaga szczególnej staranności
Uczenie maszynowe pozwala analizować sprawozdania finansowe, historię płatności, wzorce przepływów pieniężnych oraz inne informacje w celu oszacowania prawdopodobieństwa spłaty zadłużenia przez kredytobiorcę. Może ono wykrywać zależności, które trudno uchwycić za pomocą tradycyjnych systemów punktacji.
Może to przyczynić się do przyspieszenia i zwiększenia spójności procesu oceny zdolności kredytowej, zwłaszcza w przypadku małych przedsiębiorstw lub konsumentów o ograniczonej historii kredytowej w tradycyjnym rozumieniu. Dane alternatywne mogą również pomóc w ocenie wnioskodawców, których w innym przypadku trudno byłoby poddać ocenie.
Takie podejście może prowadzić do dyskryminacji. Zmienne, które wydają się neutralne, mogą w rzeczywistości odzwierciedlać cechy chronione lub niekorzystną sytuację ekonomiczną. Model może generować różne wyniki w zależności od dzielnicy, zawodu lub typu urządzenia, nawet jeśli cechy te nie odzwierciedlają wprost pochodzenia etnicznego, płci ani innych cech chronionych.
Dane historyczne odzwierciedlają również wcześniejsze decyzje kredytowe. Jeśli w przeszłości określone grupy otrzymywały mniej kredytów lub mniej korzystne warunki, model może wyuczyć się tego schematu i odtworzyć go tak, jakby był to obiektywny dowód ryzyka.
Decyzje kredytowe wymagają zatem przeprowadzenia testów w odpowiednich grupach klientów, podania jasnych uzasadnień w przypadku negatywnych wyników oraz zapewnienia skutecznych procedur odwoławczych. Zgodnie z unijną ustawą o sztucznej inteligencji niektóre systemy oparte na sztucznej inteligencji wykorzystywane do oceny zdolności kredytowej są klasyfikowane jako systemy wysokiego ryzyka i podlegają dodatkowym wymogom.
W tym kontekście wyjaśnialność nie jest jedynie kwestią techniczną. Klientowi, któremu odmówiono udostępnienia ważnego produktu finansowego, nie powinno się podawać jako jedynego wyjaśnienia stwierdzenia “tak zdecydował algorytm”.
Modele ryzyka rynkowego pozwalają wykrywać wzorce, a nie przewidywać przyszłość z całą pewnością
Instytucje finansowe wykorzystują modele do szacowania, w jaki sposób portfele mogą reagować na zmiany stóp procentowych, kursów walut, spreadów kredytowych i cen aktywów. Sztuczna inteligencja pozwala przetwarzać większą liczbę zmiennych i modelować bardziej złożone zależności niż niektóre tradycyjne metody.
Może to pomóc w identyfikacji skupisk pozycji w różnych portfelach handlowych lub ujawnić, że kilka pozornie różnych pozycji zależy od tego samego czynnika ekonomicznego. Może to również wspomóc wykrywanie anomalii w czasie rzeczywistym w okresach napięć rynkowych.
Wadą tego rozwiązania jest to, że relacje finansowe ulegają zmianom. Model wytrenowany w okresie stabilnej inflacji lub dużej płynności może zachowywać się inaczej w przypadku nagłych zmian związanych z wojną, polityką lub strukturą rynku.
Dane historyczne mogą zawierać niewiele przykładów poważnych zdarzeń, które dana instytucja próbuje modelować. System może osiągnąć wysoką dokładność w opisywaniu typowych warunków, jednocześnie nie doceniając znaczenia zdarzeń, które mają największe znaczenie.
Sztuczna inteligencja powinna zatem stanowić uzupełnienie testów warunków skrajnych, a nie je zastępować. Instytucje nadal potrzebują hipotetycznych scenariuszy wykraczających poza dane historyczne i podważających założenia dotyczące płynności, korelacji oraz zachowań rynkowych.
Model ryzyka nie jest wiarygodny tylko dlatego, że zawiera więcej zmiennych. Jest wiarygodny wtedy, gdy rozumie się jego ograniczenia, a decyzje pozostają solidne nawet w przypadku odmiennego zachowania tych zmiennych.
Ryzyko operacyjne to coś więcej niż tylko cyberbezpieczeństwo
Sztuczna inteligencja może pomóc instytucjom w wykrywaniu anomalii systemowych, przewidywaniu awarii sprzętu lub oprogramowania oraz klasyfikowaniu zdarzeń. Może również analizować komunikację wewnętrzną lub przetwarzać dane w celu wykrywania pojawiających się słabych punktów w funkcjonowaniu.
Narzędzia generatywne mogą wspierać pracowników, wyszukując procedury i pomagając im reagować na rutynowe sytuacje. Mogą jednak również generować błędne instrukcje właśnie w momencie, gdy personel potrzebuje wiarygodnych wskazówek.
Ryzyko operacyjne wzrasta, gdy instytucja staje się uzależniona od modelu lub dostawcy, nie dysponując realną alternatywą. W przypadku niedostępności usługi opartej na sztucznej inteligencji kluczowe procesy powinny mimo to móc być kontynuowane.
Bank musi wiedzieć, które funkcje są uzależnione od systemu, co dzieje się w przypadku awarii oraz w jaki sposób pracownicy przejdą na tryb pracy ręcznej lub tradycyjne procedury. Plany zapewnienia ciągłości działania należy przetestować, a nie opierać się wyłącznie na założeniach.
Automatyzacja może ograniczyć jedną kategorię błędów ludzkich, wprowadzając jednocześnie inną: nadmierne poleganie na systemie, którego awarie są mniej znane i mogą mieć szerszy zasięg.
Sztuczna inteligencja stanowi zarówno środek obrony cybernetycznej, jak i zagrożenie cybernetyczne
Zespoły ds. bezpieczeństwa mogą wykorzystywać sztuczną inteligencję do wykrywania nietypowych prób dostępu, analizowania aktywności sieciowej oraz ustalania priorytetów wśród dużej liczby alertów. Sztuczna inteligencja może szybciej niż analitycy pracujący ręcznie rozpoznawać subtelne wzorce występujące na różnych urządzeniach i kontach.
Atakujący wykorzystują podobne technologie. Generatywna sztuczna inteligencja pozwala tworzyć przekonujące wiadomości phishingowe, naśladować style komunikacji oraz wspomagać działania z zakresu inżynierii społecznej. Syntetyczne głosy i obrazy ułatwiają podszywanie się pod kadrę kierowniczą lub klientów.
Instytucje finansowe powinny zatem połączyć monitorowanie techniczne ze ścisłą kontrolą płatności i tożsamości. Nawet pozornie autentyczna wiadomość głosowa od członka kierownictwa wyższego szczebla nie powinna zastępować procedury podwójnego zatwierdzania ani niezależnej weryfikacji.
Same systemy sztucznej inteligencji mogą stać się celem ataków. Dane wejściowe mogą zostać zmanipulowane w celu zmiany wyników, można wydobyć poufne informacje, a w dokumentach przetwarzanych przez narzędzia generatywne mogą zostać ukryte złośliwe instrukcje.
Model połączony z wewnętrznymi bazami danych lub zdolny do inicjowania działań wymaga ściślejszych środków kontroli niż system generujący zestawienia. Dostęp powinien być ograniczany w zależności od potencjalnych szkód, jakie narzędzie może wyrządzić, a nie wyłącznie od wrażliwości informacji, do których ma ono dostęp.
Jakość danych to podstawowy środek kontroli
Bank Rozrachunków Międzynarodowych poinformował w 2026 roku, że jakość danych pozostaje jedną z największych przeszkód we wdrażaniu systemów sztucznej inteligencji w sektorze finansowym. Instytucje borykają się z problemem niekompletnych, niespójnych, nieaktualnych lub nieodpowiednich do zamierzonego celu informacji.
Sztuczna inteligencja nie koryguje automatycznie błędnych danych. Może wręcz pogłębić problem, generując jasny i przekonujący wynik na podstawie niewiarygodnych danych wejściowych.
Grupy finansowe często przechowują informacje dotyczące klientów, transakcji i ryzyka w systemach stworzonych w różnych okresach. Definicje mogą się różnić w poszczególnych jednostkach biznesowych, a przejęcia mogą powodować powstanie kilku konkurujących ze sobą wersji tego samego zapisu.
Przed wdrożeniem zaawansowanego modelu instytucja musi ustalić, które dane są wiarygodne, kto jest ich właścicielem oraz w jaki sposób korygowane są błędy. Zbiór danych szkoleniowych powinien odzwierciedlać warunki, w jakich system będzie działał.
Równie ważna jest historia danych. Zespoły ds. ryzyka powinny mieć możliwość prześledzenia pochodzenia ważnego wyniku aż do jego źródeł oraz zrozumienia, w jaki sposób informacja została przetworzona. Bez takiej dokumentacji zbadanie przyczyn nieoczekiwanej decyzji staje się trudne.
Wyjaśnialność musi odpowiadać konsekwencji
Nie każda aplikacja oparta na sztucznej inteligencji wymaga takiego samego poziomu wyjaśnienia. Model służący do sortowania dokumentów wewnętrznych ma inne konsekwencje niż ten, który wpływa na zatwierdzanie kredytów lub identyfikuje transakcję jako potencjalnie przestępczą.
Organy regulacyjne coraz częściej opowiadają się za podejściem proporcjonalnym. Im większy wpływ na klientów, kapitał lub stabilność finansową, tym większa powinna być zdolność instytucji do wyjaśniania, testowania i weryfikowania modelu.
Niektóre zaawansowane systemy nie pozwalają na przedstawienie prostego opisu wszystkich wewnętrznych obliczeń. Nie oznacza to jednak, że nie nadają się one do użytku, ale instytucje potrzebują innych form zapewnienia. Mogą one obejmować badanie, jak zmieniają się wyniki w zależności od zmian danych wejściowych, porównywanie modelu z prostszym modelem referencyjnym oraz analizę wyników w poszczególnych grupach klientów.
Osoba zarządzająca ryzykiem powinna umieć wyjaśnić, do czego służy dany model, jakie informacje wykorzystuje, w jakich obszarach wykazuje słabe wyniki oraz w jakich sytuacjach nie należy polegać na jego wynikach.
Technologia nieprzejrzysta nie powinna być poddawana mniej wnikliwej analizie tylko dlatego, że jej złożoność utrudnia jej wyjaśnienie.
Zależność od podmiotów zewnętrznych staje się problemem systemowym
Wiele instytucji nie tworzy swojej infrastruktury sztucznej inteligencji wyłącznie we własnym zakresie. Korzystają one z usług dostawców usług w chmurze, twórców modeli bazowych, wyspecjalizowanych firm zajmujących się danymi oraz zewnętrznych dostawców oprogramowania.
Może to zapewnić dostęp do technologii, której samodzielne opracowanie byłoby kosztowne. Powoduje to również koncentrację kluczowych usług w rękach stosunkowo niewielkiej liczby globalnych dostawców.
Jeśli wiele banków korzysta z tego samego modelu lub tej samej platformy chmurowej, jedna awaria, luka w zabezpieczeniach lub wadliwa aktualizacja może wpłynąć jednocześnie na kilka instytucji. Podobne modele mogą również reagować na informacje rynkowe w podobny sposób, co zwiększa prawdopodobieństwo wystąpienia zachowań skorelowanych.
Bank ponosi odpowiedzialność za systemy zlecone podmiotom zewnętrznym. Umowy powinny regulować kwestie dostępu do danych, zgłaszania incydentów, uprawnień audytowych, zmian w modelach, podwykonawców oraz procedury odzyskiwania informacji po zakończeniu współpracy.
Instytucja powinna również wiedzieć, czy może skorzystać z usług innego dostawcy, czy też kontynuować ten proces we własnym zakresie. Teoretyczny plan awaryjny jest niewystarczający, jeśli przeniesienie danych i odbudowa integracji zajęłyby lata.
W co warto inwestować?
Wykazy modeli mają zasadnicze znaczenie. Instytucja powinna wiedzieć, jakie systemy sztucznej inteligencji eksploatuje, gdzie są one wykorzystywane, do jakich danych mają dostęp oraz kto jest właścicielem każdego z nich. Niezarejestrowane narzędzia wprowadzane nieformalnie przez pracowników mogą stwarzać zagrożenia wykraczające poza zakres formalnego nadzoru.
Warto również przeznaczyć środki na niezależną weryfikację. Osoby testujące model powinny dysponować wystarczającymi uprawnieniami i wiedzą specjalistyczną, aby móc poddać w wątpliwość ustalenia zespołu, który go opracował lub nabył.
Monitorowanie musi być kontynuowane po wdrożeniu. Należy na bieżąco analizować dokładność, liczbę fałszywych alarmów, wyniki osiągane przez klientów oraz incydenty operacyjne. Model, który pomyślnie przeszedł początkowe testy, może tracić na jakości w miarę zmian zachowań i warunków rynkowych.
Szkolenie pracowników powinno wykraczać poza samą obsługę narzędzia. Pracownicy muszą zrozumieć kwestie związane z poufnością, stronniczością, weryfikacją oraz sytuacjami, w których konieczne jest zgłoszenie sprawy wyższej instancji.
Inwestycja w prostsze mechanizmy kontroli może czasami przynieść większe korzyści. Skuteczniejsza weryfikacja tożsamości, zarządzanie dostępem lub uzgadnianie danych mogą ograniczyć ryzyko w sposób bardziej niezawodny niż zaawansowany model wdrożony w oparciu o słabe procesy.
Czego instytucje powinny unikać
Nie należy decydować się na zakup sztucznej inteligencji wyłącznie dlatego, że korzystają z niej konkurenci. Instytucja musi mieć konkretny problem związany z ryzykiem, mierzalny punkt odniesienia oraz uzasadnienie, dlaczego sztuczna inteligencja stanowi ulepszenie w stosunku do sprawdzonej metody.
Systemy typu „czarna skrzynka” nie powinny być wdrażane bezpośrednio w procesach decyzyjnych o istotnych konsekwencjach bez przeprowadzenia odpowiednich testów i weryfikacji. Nie należy również przyjmować na wiarę zapewnień dostawcy dotyczących wydajności bez ich zweryfikowania na podstawie własnych danych instytucji oraz w jej warunkach operacyjnych.
Banki powinny unikać sytuacji, w których pracownicy wprowadzają poufne informacje dotyczące klientów lub ryzyka do publicznie dostępnych usług generatywnych. Zatwierdzone narzędzia muszą posiadać jasne zasady postępowania z danymi oraz ograniczenia techniczne, a nie opierać się wyłącznie na pisemnych wytycznych.
Twierdzenia dotyczące mniejszej liczby wyników fałszywie pozytywnych lub niższych kosztów operacyjnych należy oceniać w kontekście pominiętych przypadków, skarg klientów oraz dodatkowej pracy związanej z weryfikacją. System może wydawać się bardziej wydajny, ponieważ przenosi koszty na inny dział lub powoduje błędy, które ujawniają się dopiero później.
Co najważniejsze, sztucznej inteligencji nie należy traktować jako substytutu doświadczonych specjalistów ds. ryzyka. Technologia ta może poszerzyć zakres analizy, ale to ludzie muszą interpretować przypadki wyjątkowe, kwestionować nierealistyczne wyniki i ponosić odpowiedzialność za podejmowane decyzje.
Praktyczne ramy wdrażania
Należy zacząć od jasno zdefiniowanego przypadku użycia i porównać system sztucznej inteligencji z obecnym procesem. Przed rozpoczęciem projektu pilotażowego należy ustalić, jakie ulepszenia są wymagane w zakresie dokładności, szybkości, kosztów lub wykrywania ryzyka.
Należy sklasyfikować aplikację według jej potencjalnego wpływu. Wewnętrzny asystent o niskim ryzyku może wymagać jedynie podstawowych środków kontroli, natomiast model mający wpływ na decyzje dotyczące kredytów, ekspozycji rynkowej lub podejrzanych działań wymaga formalnej walidacji i nadzoru ze strony kierownictwa wyższego szczebla.
Należy przetestować model na reprezentatywnych danych, uwzględniając trudne przypadki i okresy obciążenia. Należy przeanalizować wyniki w poszczególnych grupach klientów i transakcji, zamiast opierać się wyłącznie na średnim wskaźniku dokładności.
Należy wprowadzić weryfikację przez człowieka w momencie, w którym może to w znaczący sposób wpłynąć na wynik. Osoba, od której oczekuje się jedynie zatwierdzania setek automatycznych rekomendacji, nie zapewnia skutecznego nadzoru.
Należy ustalić progi, przy których model zostanie zawieszony w przypadku pogorszenia się jego wydajności, utraty wiarygodności danych lub wyjścia warunków rynkowych poza zakres, w którym został przetestowany. Należy zapewnić sprawny proces awaryjny.
Na koniec należy przedstawiać wyniki kierownictwu wyższego szczebla i zarządowi w sposób, który pozwoli im na krytyczną analizę. Zarządzanie zawodzi, gdy sztuczna inteligencja jest przedstawiana jako zagadnienie techniczne wykraczające poza zakres odpowiedzialności osób podejmujących decyzje.
Sztuczna inteligencja może sprawić, że zarządzanie ryzykiem finansowym stanie się szybsze i bardziej selektywne, zwłaszcza w zakresie wykrywania oszustw, monitorowania transakcji, analizy danych oraz kontroli operacyjnych. Może ona jednak również ukrywać stronniczość, budować fałszywe poczucie bezpieczeństwa oraz skłaniać instytucje do skupiania się na tych samych dostawcach i modelach. Najlepszym rozwiązaniem nie jest zatem wdrożenie o najwyższym stopniu autonomii. Najlepszym rozwiązaniem jest takie, w którym dane są wiarygodne, ograniczenia są widoczne, a wykwalifikowani pracownicy zachowują zarówno uprawnienia, jak i obowiązek interwencji.


